Малоизвестная функция в Windows ставит под угрозу конфиденциальность данных

image

Теги: Windows, данные, конфиденциальность

Файл WaitList.dat собирает текст из всех документов, проиндексированных индексатором службы Microsoft Windows Search.

Специалист в области компьютерной криминалистики Барнаби Скеггс (Barnaby Skeggs) обратил внимание на одну из функций в ОС Windows, которая может представлять угрозу конфиденциальности данных. В частности, проблема затрагивает владельцев устройств на базе версий Windows с поддержкой сенсорного экрана, где включена функция распознавания рукописного текста (впервые появилась в Windows 8).

Речь идет о файле WaitList.dat, который призван улучшить работу функционала. С помощью данного файла система распознает текст и предлагает правки слов, используемых чаще всего. Проблема заключается в том, что при активации функции распознавания WaitList.dat собирает текст из всех документов (файлы Office, электронные письма и т.д.), проиндексированных индексатором службы Microsoft Windows Search.

Пользователю даже не нужно открывать файл или электронное сообщение, достаточно того, что они сохранены на диске, а формат файла поддерживается индексатором, пояснил Скеггс в интервью изданию ZDNet. В большинстве случаев, с которыми сталкивался эксперт, файл WaitList.dat содержал фрагмент текста из каждого документа или электронного письма, даже если исходные файлы уже были удалены. В 2016 году специалист уже пытался привлечь внимание общественности к проблеме, однако тогда его сообщение прошло практически незамеченным.

Скеггс привел несколько сценариев эксплуатации данной функции злоумышленниками. К примеру, если у атакующего есть доступ к целевой системе, WaitList.dat предоставляет альтернативный способ сбора паролей и иной конфиденциальной информации.

WaitList.dat не представляет опасности, если функция распознавания рукописного текста не включена, но даже если она активирована, для использования файла в своих целях злоумышленнику потребуется инфицировать систему вредоносным ПО или получить к ней физический доступ.

Согласно Скеггсу, данный файл расположен в каталоге C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat.

Пользователям, хранящим пароли в текстовых документах или электронных сообщениях, эксперт порекомендовал удалить файл WaitList.dat.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.